Sponsored Story

La formazione in cybersecurity? È un gioco di ruolo

La formazione sui temi di cybersecurity aiuta a rafforzare le difese aziendali e a garantire la resilienza in caso di attacco informatico. Con l’aiuto degli esperti, vediamo come farla in modo efficace e coinvolgente per il personale a ogni livello

Pubblicato il 22 Mag 2023

formazione cybersecurity

La formazione nella cybersecurity non è un aspetto secondario nelle iniziative di rafforzamento della tutela digitale aziendale. Protezioni tecnicamente aggiornate e ben gestite non bastano a difendere il perimetro aziendale dagli attacchi di malware e ransomware, ma serve poter contare sulla capacità di dipendenti e collaboratori di riconoscere le situazioni di rischio, agire in modo prudente nell’apertura di e-mail, siti web e documenti vari e difendersi dal social engineering.

La formazione di cybersecurity serve oggi per affiancare alla tecnologia un efficace firewall umano, in grado di resistere alle azioni sempre più scaltre e mirate del cybercrime. Un compito nient’affatto banale laddove il tempo dei dipendenti è sempre più raro e prezioso. In particolar modo tra i dirigenti e le persone senior che hanno in mano le informazioni di maggior valore per gli attaccanti, ma non la consapevolezza dei rischi informatici e il tempo per seguire corsi di formazione di cybersecurity.

Perché serve coinvolgere tutto il personale nella formazione di cybersecurity

La formazione di cybersecurity è una necessità per tutto il personale aziendale, ma spesso incontra un ostacolo nei preconcetti di chi lavora nelle line-of-business. “Immaginano che la formazione di cybersecurity riguardi aspetti tecnici e che sia destinata a chi ha le competenze informatiche” spiega Marina Miserandino, associate partner di Horizon Security, società di consulenza attiva su sicurezza e formazione. “In generale vene considerata un’attività noiosa”. Per essere efficace, la formazione di security deve arrivare a tutte le persone dell’azienda: “In banca, per esempio, ai cassieri, ai promotori, agli impiegati… A chiunque con decisioni inconsapevoli o azioni errate possa vanificare in un momento anni d’investimenti nella sicurezza digitale”.

Non c’è solo la necessità di rendere meno vulnerabili le persone. La formazione deve aiutare chi, per esempio, deve gestire le crisi conseguenti agli attacchi. “Un compito che investe responsabilità specifiche all’interno dell’azienda” continua Miserandino. “Nell’ambito della comunicazione, per esempio, serve sapere cosa fare in caso di attacchi cyber, quando, cosa e come comunicare sui vari canali (autorità, stakeholder e stampa, se si tratta di imprese quotate) in accordo con il DPO o lo studio legale”. Un compito che richiede preparazione, aggiornamento sugli aspetti regolatori, di privacy e di modalità di comunicazione per la definizione dei metodi e dei processi più efficaci.

La formazione di cybersecurity va quindi realizzata su misura dei differenti team aziendali, utilizzare un linguaggio comprensibile, servirsi il più possibile di format didattici coinvolgenti, “che partano dall’esperienza e dai rischi dell’attività di lavoro per giungere agli impatti potenzialmente dannosi delle azioni, apparentemente banali, che si compiono tutti i giorni”.

I format didattici per fare formazione di security in maniera coinvolgente

A partire dalla formazione di cybersecurity più classica, erogata in modo frontale in aula o in e-learning, si utilizzano oggi modalità non tradizionali, pensate per ingaggiare maggiormente le persone attraverso esempi di vita aziendale, didattica interattiva e discussioni aperte. “I format d’induction training sono per loro natura bidirezionali, discorsivi e coinvolgenti” spiega Miserandino. “Il docente suggerisce temi e porta gli esempi, sollecitando le persone a raccontarsi, animando le discussioni”. Questi format risultano inoltre adatti a portare la formazione di cybersecurity presso le figure aziendali di alto livello, del board o C-level che devono comprendere in prima persona i rischi cyber che corre l’azienda.

Altre modalità didattiche adatte a integrare le sessioni di e-learning più tradizionali sono quelle che prevedono i giochi di ruolo. “La gamification aiuta l’ingaggio delle persone e consente di verificare i livelli effettivi d’apprendimento a valle delle altre attività di formazione” continua Miserandino. “Per i team esperti è inoltre possibile organizzare dei veri e propri hackathon interni (sfide di hacking per individuare fragilità cyber, ndr)”.

Un altro format didattico molto utile è la simulazione degli attacchi. “Si tratta di simulare attacchi cyber del tutto realistici a tavolino (per sicurezza non si fa sui sistemi aziendali – ndr) e invitare i partecipanti a fronteggiarlo. Una sorta di allenamento paragonabile alle prove d’evacuazione antincendio, dove si analizzano non solo aspetti tecnici ma le capacità delle persone di collaborare per ottenere il risultato”.

Come realizzare la formazione di security in azienda in modo efficace

Corsi di e-learning, supporti verticali per esercitazioni e simulazioni, campagne di phishing e così via, sono strumenti utili al rafforzamento delle barriere umane agli attacchi cyber. Ma come funzionano nella pratica queste iniziative? L’approccio ottimale prevede di distribuire nell’anno eventi e format didattici diversi per gruppi di persone. “Ci sono le campagne di sensibilizzazione settimanali, mensili e pacchetti ad hoc comprendenti pillole di e-learning, gamification e challenge” spiega Miserandino. “Si può partire con campagne di phishing per scoprire quante persone cadono nella rete, quindi proseguire con pillole formative molto brevi, somministrate secondo un calendario adatto alla specifica realtà aziendale e sessioni specifiche d’induction training per i dirigenti”.

Con i C-level possono essere efficaci le simulazioni, fatte analizzando i modelli operativi e le relazioni tra le funzioni aziendali per migliorare i processi decisionali in tempestività ed efficacia. In base ai risultati, s’individuano le modalità per creare un circolo virtuoso tra formazione, collaborazione, aggiornamenti tecnici e operativi. La formazione di cybersecurity deve coinvolgere la popolazione aziendale in modo continuativo, facendo in modo che i fruitori diventino parte attiva nei confronti dei colleghi.

Nella formazione di cybersecurity il contributo del partner non si limita all’esperienza sul tema e alla capacità di articolare i format per renderla attraente. “Il partner porta in azienda la conoscenza sull’evoluzione degli attacchi e delle modalità offensive, calandola nella realtà dei diversi ambienti di lavoro. Il docente sollecita l’interesse delle persone proponendo temi, alternando spiegazioni con mini-sondaggi, creando la migliore consapevolezza su rischi e impatti per l’azienda”, conclude Miserandino.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 3